Recursos de gobernanza de software de IA

¿Qué es Devlympics?

Devlympics es un campeonato mundial anual organizado por Security Code Warriors en su plataforma de aprendizaje ágil, cuyo objetivo es poner a prueba las habilidades de los desarrolladores en materia de código seguro.

En el torneo de 24 horas, desarrolladores de todo el mundo participan en desafíos de programación ofensiva y defensiva utilizando el lenguaje de programación que elijan. Los desarrolladores tienen la oportunidad de competir con sus compañeros en una serie de habilidades, ganar puntos y alcanzar la cima de la clasificación.

En este informe, se resumen los resultados de Devlympics 2023 y se analizan en profundidad las ventajas y oportunidades que cientos de desarrolladores han destacado entre los retos a los que se enfrentan. Además, se destacan las tendencias de cada sector e idioma, así como las vulnerabilidades comunes (CWE, por sus siglas en inglés) que los desarrolladores han resuelto, con el fin de ayudarle a llevar su aprendizaje sobre código seguro a un nuevo nivel.

Secure Code Warrior los desarrolladores sobre los desarrolladores y Secure Code Warrior

«Secure Code Warrior es una plataforma excelente para competir con otros participantes y mejorar tus habilidades».

Secure Code Warrior un método interactivo similar a la revisión de código».

«Secure Code Warrior es una de las mejores plataformas para entrenarte a través de competiciones divertidas».

«¡Emocionante y emocionante, me encanta!»

A los desarrolladores les gusta el código seguro.

Al finalizar el evento, realizamos una encuesta a más de 200 participantes, y los resultados indican que a los desarrolladores les gustó el concurso.

El 94% de los participantes disfrutó jugando en tournament El 90% dijo que se apuntaría al evento del año que viene El 62% calificó la plataforma SCW con un 10/10, y el 91% dijo que la recomendaría a sus compañeros Más del 85% dijo que definitivamente utilizaría la plataforma SCW si su organización tuviera acceso a ella a tiempo completo.

Participación de los desarrolladores

La participación de los desarrolladores en Devlympics sigue creciendo, con más de 1000 desarrolladores participando en el campeonato de 2023. Devlympics ha atraído la atención de todo el mundo, incluyendo a profesionales de la seguridad y desarrolladores de múltiples industrias y disciplinas de programación. La participación se ha duplicado con respecto al año pasado, y hemos observado que los desarrolladores están cada vez más interesados en aprender a programar de forma segura. Al cultivar una comunidad de desarrolladores con habilidades en materia de seguridad,Devlympics sigue haciendo hincapié en el valor de los desarrolladores como primera línea de defensa para proteger el código contra vulnerabilidades.

El gráfico muestra que Devlympics tenía 786 jugadores en 2022 y 1472 en 2023, lo que supone el doble de crecimiento.

‍

Sectores participantes en Devlympics

El código seguro es importante para todos los sectores, pero en algunos ámbitos concretos es absolutamente fundamental. Sectores como el bancario y los servicios financieros y el tecnológico se encuentran entre los que más desarrolladores participan. Esto pone de manifiesto la importancia que estos sectores conceden a la seguridad del código y la atención que le prestan constantemente.

Gráfico que muestra los participantes en Devlympics por sector. La banca y los servicios financieros representaron el 53% y la tecnología el 16% de los participantes.

‍

El lenguaje utilizado en la industria

Los diferentes sectores utilizan diversos lenguajes de programación, que se dividen en seis categorías diferentes (web, móvil, front-end, API y nube, y mashup), con más de 30 lenguajes diferentes entre los que elegir. Estos son algunos de los lenguajes que hemos observado que son populares en los distintos sectores.

‍

No puedo parar, no voy a parar.

Los jugadores de Devlympics pasaron una media de casi tres horas en la plataforma, con un tiempo total de juego de 4152 horas.

Algunos de los desarrolladores que ocupan los primeros puestos de la clasificación lo han llevado a un nuevo nivel. Los 20 jugadores con más tiempo de juego participan en promedio 14 horas en el campeonato. ¡Eso sí que es dedicación!

Imagen que muestra la jugabilidad de Devlympics. 4152 horas de juego total, 2,9 horas de media por usuario en la plataforma. Top 20, Desarrolladores por tiempo jugado durante 14 horas de 24

‍

Desarrollador full stack

En Devlympics, el 41 % de los desarrolladores utilizan al menos dos lenguajes diferentes para crear juegos, y casi una cuarta parte de los desarrolladores utilizan más de tres lenguajes.

Según Stack Overflow, los desarrolladores que envían código de producto en dos o más idiomas se consideran desarrolladores full stack.

¿Su plan de formación garantiza que los desarrolladores reciban formación sobre todas las tecnologías relacionadas con el código que envían? Se acabó. Con 63 lenguajes ySecure Code Warrior diferentes,Secure Code Warrior se encarga deSecure Code Warrior .

‍

41% de jugadores que compitieron en 2+ idiomas, frente al 23% de jugadores que compitieron en 3+ idiomas

‍

Tendencias en la pila tecnológica

En el código de acceso público, el código de seguridad es fundamental.

En todos los sectores, los desarrolladores utilizan lenguajes de red o API para crear juegos.

Java Spring y Docker Basic ocupan los primeros puestos como los lenguajes individuales más utilizados en este campeonato.

‍

Web o API fueron los tipos de lenguaje más populares. Java Spring y Docker Basic fueron los lenguajes individuales más utilizados.

‍

Comunidad de guardianes de la seguridad

Los mejores participantes se inscribieron en las Devlympics de este año, la mayoría de los cuales ya eran clientes de Secure Code Warrior, ¡y los resultados lo reflejan! En todos los sectores, los participantes de las Devlympics obtuvieron resultados mucho mejores que los estándares del sector indicados por Secure Code Warrior en su evaluación de la plataforma.

A medida que continuamos construyendo una comunidad dedicada de defensores de la seguridad de los desarrolladores Secure Code Warrior , ¡esperamos que estas cifras sean cada vez más prometedoras cada año!

Vulnerabilidades críticas: web y API

Los desarrolladores que participaron en Devlympics demostraron un buen nivel de competencia en las diez categorías principales de vulnerabilidades de inyección y componentes de terceros vulnerables de OWASP. Somos optimistas y creemos que, con el tiempo, estas vulnerabilidades acabarán desapareciendo de la lista de las diez principales vulnerabilidades de OWASP.

La distribución a gran escala sigue siendo un problema importante. El nivel de competencia de los desarrolladores es uno de los más bajos en lo que respecta a esta vulnerabilidad concreta. Dada la falta de herramientas de automatización y pruebas en este ámbito, se trata de un motivo de preocupación que debe vigilarse de cerca. Una mayor formación en este ámbito también contribuiría a aliviar la presión que sufren los equipos de seguridad para hacer frente a esta vulnerabilidad concreta.

La puntuación más alta por vulnerabilidad fue la siguiente: XMLEntidades externas XXE 92%, Componentes vulnerables 90%, Fallos de inyección 89%. La puntuación más baja por vulnerabilidades fue la siguiente: Falsificación de petición en sitios cruzados 70%, Asignación masiva 71% , Vulnerabilidad de carga de archivos 71%.

‍

Las 25 vulnerabilidades de software más peligrosas según CWE

La lista de las 25 vulnerabilidades de software más peligrosas (CWE) proporciona a los desarrolladores un resumen anual de las vulnerabilidades de software más comunes e impactantes en la actualidad.

#1 CWE-787 Daño de memoria, #9 CWE-352 Falsificación de solicitudes entre sitios y #10 CWE-434 Carga de archivos son las puntuaciones mínimas de precisión durante el desarrollo de los Juegos Olímpicos.

Las vulnerabilidades relacionadas con la inyección, como la n.º 3 SWE-89 Inyección SQL, la n.º 5 CWE-78 Inyección de comandos del sistema operativo y la n.º 8 CWE-22 Recorrido de rutas, fueron algunas de las CWE con mayor puntuación durante Devlympics. Esperamos que, a medida que mejoren las habilidades de los desarrolladores, estas vulnerabilidades vayan descendiendo en las listas del sector, como las 25 principales CWE o las 10 principales OWASP.

‍

Debilidades ordenadas por orden de importancia

‍

Conclusión

Las Devlympics de 2023 demostraron que los desarrolladores de todo el mundo participan y aprenden mientras compiten en el torneo. El impacto no se limita al orgullo que obtienen de la competición, sino que los escenarios del mundo real les permiten retener fácilmente los conocimientos y aplicarlos en la práctica.

Secure Code Warrior la plataforma líder en el sector para el aprendizaje ágil de código seguro, que permite a los desarrolladores adquirir las habilidades necesarias para escribir código seguro.

Con Security Code Warrior, puedes organizar tu propio torneo, como Devlympics, para tu equipo de desarrollo. Reúne a tu equipo y participa en una divertida competición gamificada en la que aprenderán todo lo necesario sobre cómo localizar, identificar y corregir vulnerabilidades de software.

‍

Únete a una comunidad en crecimiento

Nuestra visión es motivar a la comunidad global de desarrolladores con habilidades en seguridad a adoptar una cultura de programación preventiva y segura. Nos centramos en mejorar la resiliencia de la seguridad minimizando la incidencia de ataques, amenazas y riesgos, para que puedas impulsar el cambio, la innovación y la aceleración. ¡Creemos que la tutoría y la orientación son una parte esencial de nuestra comunidad de desarrolladores!

Inscríbete en los Juegos Olímpicos de Desarrollo 2024 y síguenos en X para estar al tanto de todos los anuncios.

‍

Estudios de caso

Devlympics 2023: retrospectiva

Consulte los resultados de los Juegos Olímpicos de 2023 en este informe. Obtenga información detallada sobre la participación de los desarrolladores, las tendencias tecnológicas y lingüísticas de cada sector participante, así como las vulnerabilidades clave y los CWE cubiertos en el evento Secure Code Warrior .

28 de noviembre de 2023